鹰潭新闻网

usdt otc(www.payusdt.vip):YARA-规则匹配神器-简朴使用篇

来源:鹰潭信息网 发布时间:2021-04-02 浏览次数:

USDT自动API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

当前默认实验环境、工具:

Windows 10

yara v4.0.2 64

Visual Studio 2015

1、简朴先容

YARA 是一个旨在(但不限于)辅助恶意软件研究职员识别和分类恶意软件样本的开源工具。现在使用YARA 的着名软件有赛门铁克、火眼、卡巴斯基、VirusTotal、安天等。

YARA的每一条形貌、规则都由一系列字符串和一个布尔型表达式组成,并论述其逻辑。YARA规则可以与文件或在运行的历程,以辅助研究职员识别其是否属于某个已举行规则形貌的恶意软件等。

YARA 支持在Windows、Linux 和 Mac OS X 平台上运行。

项目地址:

https://github.com/VirusTotal/yara

官方文档:https://yara.readthedocs.io/

2、下载安装

在windows环境下,可直接下载编译好的exe文件使用,也可以下载源代码自行编译后使用。当前最新版本v4.0.2 (20201201),下载地址:

https://github.com/VirusTotal/yara/releases/

其他平台上安装使用也很利便,可查看官方提供的安装文档:

https://yara.readthedocs.io/en/stable/gettingstarted.html

(1)关于文件

下载完成之后解压看到两个文件:yara64.exe , yarac64.exe ,以下内容划分统称为yara[.exe] 和yarac[.exe]

yara 为yara使用程序

yarac 为编译yara规则工具,使用编译后的yara规则可以加速速率,正常使用yara会先编译规则之后再加载,以是预编译可以节约时间。

(2)测试-快速最先

运行之后可看到:

(3)使用参数参考

yara --help 可查看yara的使用参数:

简略翻译:

3、简朴使用

(1)官方示例demo

在yara官方项目可以看到如下规则:

将内容保留到一个文件里banker.yar (后缀名都可以,内容是规则就行,然则严谨统一常用照样yar吧),然后找个测试的文件直接测试就可以。

代码注释:

首行的rule silent_banker : banker 是声明当前规则名称,编写职员习惯和要求等差异,这个名称可以注释为检测banker类型的样本,silent_banker样本注释可查看链接:https://www.microsoft.com/

en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Silentbanker.B。

meta后面的是一些形貌信息,好比可以有规则说明、作者信息、威胁品级、在野情形、文件MD5、泉源等内容;strings后面是检测规则,有字符串、字节序列等内容;condition为判断条件。在本例检测规则处界说的字节序列和字符串,判断条件是or ,以是只要匹配到

$a $b $c三个字符串或字节序列中的随便一个,那么样本就会被识别成silent_banker 。由于没有找到样本,以是直接确立文件测试:

确立含有

{6A 40 68 00 30 00 00 6A 14 8D 91} 字节序列文件测试,之后运行下令扫描即可,其他参数可按需添加,执行:

yara silent_banker.yar testfile

确立"UVODFRYSIHLNWPEJXQZAKCBGMT"字符串文件测试:

修改一下,判断不是该样本:

(2)webshell扫描

一个网络yara规则的github项目:https://github.com/Yara-Rules/rules,内里有挺多webshell、恶意软件的yara规则。

以/webshells/WShell_THOR_Webshells.yar 文件的规则为示例,规则名:

webshell_h4ntu_shell_powered_by_tsoi_ : webshell ,在内里有对应样本的文件hash:

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

去沙箱平台查样本hash可以看到样本被检测过了,可下载样本回来内陆检测:

最后可以内陆使用检测

/webshells/WShell_THOR_Webshells.yar 规则去检测该样本:

规则注释:

当样本都存在以上四个字符串,则示意是

webshell_h4ntu_shell_powered_by_tsoi_ : webshell样本。

(3)恶意软件扫描

同样从https://github.com/Yara-Rules/rules项目找规则,到找样本,再到内陆检测。这里选取/malware/APT_HackingTeam.yar 文件规则,规则名为Hackingteam_Elevator_DLL ,可以看到样本的hash:

同样去沙箱下载样本:


最后可以内陆使用检测

/malware/APT_HackingTeam.yar 规则去检测该样本:

规则注释:

当样本文件巨细小于1000KB

当样本文件文件头为0x5a4d,即mz 头(window的PE文件标志)

当样本都涵盖了以上至少6个字符串

则示意是Hackingteam_Elevator_DLL 样本。

(4)火眼红队工具泄露分享规则

12月8日,美国顶级平安公司FireEye(中文名:火眼)宣布一则通告称其内部网络被某个“拥有一流网络攻击能力的国家”所攻击,攻击者“拿走”了一些内部红队工具。FireEye 称不确定攻击者是否设计使用这些Red Team工具或公然披露它们,然则,出于郑重思量,为了协助提防这些工具被公然的风险,FireEye已宣布识别这些工具的OpenIOC,Yara,Snort和ClamAV检测规则,以只管削减丢失这些工具的潜在影响。

检测规则项目:

https://github.com/fireeye/red_team_tool_countermeasures,这里直接看allyara.yar就可以了,其他的规则可以逐步查看研究。可以看到第一个检测规则名HackTool_MSIL_Rubeus_1 :

在meta字段里有两个主要信息:形貌和样本的md5。根据形貌可以知道这是针对https://github.com/GhostPack/Rubeus 项目编译出来的样本检测规则(一个针对域攻击的工具),同样可以通过md5直接在沙箱下载样本回来检测:

规则注释:

同样是检测是pe文件,之后当

658C8B7F-3664-4A95-9572-A3E5871DFC06 字符串(修饰符解释忽略巨细写、ascii、宽字节字符串匹配中了都可以)存在样本里则说明是HackTool_MSIL_Rubeus_1 样本。

(5)其他

扫描历程:yara rulesrules.yar pid

文件夹扫描:yara rulesrules.yar folder

4、提取编译后的yara规则

用官方的yarac 编译yara规则, yarac 的使用很简朴,直接yara --help 可看到:

Usage: yarac [OPTION]... [NAMESPACE:]SOURCE_FILE... OUTPUT_FILE

直接拿一个规则测试:

遇到一个错误可在官方项目issue内里找到解决方案,使用编译后的规则加个参数-C 。可见编译后的字节码规则检测出了样本,可以看到字节码文件的文件头有YARA 标识:

提取YARA编译后的规则字节码文件看到的文章不多,在youtube看到有人在研究,应该是有工具了然则没公然。

一种方式:基于源码刷新实现反编译YARA规则,文章链接:

https://www.anquanke.com/post/id/170938,内里先容了yara的一些流程和作者分享的思绪,这里我直接根据作者思绪提取规则信息。想要的信息都保留在YR_RULE类似的结构体中,只不外官方把这些信息所有都封装起来了,它并没有提供输出反编译后的信息,这个就需要自己手动调试,修改一些处置逻辑,将这些所谓“隐藏“的信息所有打印出来即可。匹配中规则,和不中规则的所有打印出来,下载yara源码举行修改,之后重新编译天生可执行文件即可:

这里准备一个空文件,让规则不匹配,到达打印字节码文件所有规则的效果。运行:yara_diy.exe -C

rulesAPT_HackingTeam_.yar simplesblankfile -nms

yara_diy.exe 为修改重新编译天生的yara,参数-n 、-m 、-s

规则编写思索(话痨):

规则要经由误报测试,不能匹配白文件或其他类型木马,只能匹配统一类木马家族,规则要通用性,不能只单独匹配到一个文件,正则最好不能泛起"扫描速率慢",写的时刻可以写多些字符串(除非敢打包票一定对,可以写少点)或者字符串跟16进制连系,也可以思索攻击队使用的一些手法来拓展检测思


路。


发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片